기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 모든 HSM 인스턴스의 알려진 문제
<a name="ki-all"></a>

다음 문제는 key\$1mgmt\$1util 명령줄 도구, PKCS \$111 SDK, JCE SDK 또는 OpenSSL SDK를 사용하는지 여부에 관계없이 모든 AWS CloudHSM 사용자에게 영향을 미칩니다.

**Topics**
+ [문제: 제로 패딩으로 키 래핑의 표준 호환 구현을 제공하는 대신 AES 키 래핑에 PKCS\$15 패딩이 사용됩니다.](#ki-all-1)
+ [문제: 클라이언트 데몬이 클러스터에 성공적으로 연결하려면 구성 파일에서 최소 하나의 유효한 IP 주소가 필요합니다.](#ki-all-2)
+ [문제: 클라이언트 SDK 3을 AWS CloudHSM 사용하여 해시하고 서명할 수 있는 데이터에 대한 상한이 16KB였습니다.](#ki-all-3)
+ [문제: 가져온 키를 내보낼 수 없도록 지정할 수 없음](#ki-all-4)
+ [문제: key\$1mgmt\$1util의 wrapKey 및 unWrapKey 명령에 대한 기본 메커니즘이 제거되었습니다.](#ki-all-5)
+ [문제: 클러스터에 HSM이 하나 있는 경우, HSM 장애 조치가 올바르게 작동하지 않습니다.](#ki-all-6)
+ [문제: 짧은 시간 내에 클러스터에 있는 HSM의 키 용량이 초과하면, 클라이언트가 처리되지 않은 오류 상태로 전환됩니다.](#ki-all-7)
+ [문제: HMAC 키 크기가 800바이트보다 큰 다이제스트 작업은 지원되지 않습니다.](#ki-all-8)
+ [문제: Client SDK 3과 함께 배포된 client\$1info 도구가 선택적 출력 인수로 지정된 경로의 내용을 삭제합니다.](#ki-all-9)
+ [문제: 컨테이너화된 환경에서 `--cluster-id` 인수를 사용하여 SDK 5 구성 도구를 실행할 때 오류가 발생합니다.](#ki-all-10)
+ [문제: 제공된 pfx 파일에서 다음 오류가 표시됩니다. “cert/key를 생성하지 못했습니다. 오류: NotPkcs8”](#ki-all-11)
+ [문제: SDK 5.16으로 시작하는 "잘못된 메커니즘" 오류와 함께 ECDSA 서명 실패](#ki-all-12)
+ [문제: 미리 해시된 데이터를 사용한 서명 작업 시 대화형 모드에서 세션 토큰이 제대로 지워지지 않음](#ki-all-13)
+ [문제: CloudHSM 클라이언트 라이브러리의 기본 클라이언트 인증서가 2026년 1월 31일에 만료됩니다.](#ki-all-14)

## 문제: 제로 패딩으로 키 래핑의 표준 호환 구현을 제공하는 대신 AES 키 래핑에 PKCS\$15 패딩이 사용됩니다.
<a name="ki-all-1"></a>

또한 패딩이 없는 키 래핑 및 제로 패딩이 지원되지 않습니다.
+ **영향: **내에서이 알고리즘을 사용하여 래핑하고 언래핑해도 영향이 없습니다 AWS CloudHSM. 그러나 로 래핑된 키는 패딩 없음 사양을 준수할 것으로 예상되는 다른 HSMs 또는 소프트웨어 내에서 언래핑할 수 AWS CloudHSM 없습니다. 표준 호환 언래핑 중에 8바이트의 패딩 데이터가 키 데이터 끝에 추가될 수 있기 때문입니다. 외부로 래핑된 키는 AWS CloudHSM 인스턴스로 제대로 래핑 해제할 수 없습니다.
+ **해결 방법: **AWS CloudHSM 인스턴스에서 PKCS \$15 패딩이 있는 AES 키 래핑으로 래핑된 키를 외부에서 언래핑하려는 경우 키를 사용하려고 시도하기 전에 추가 패딩을 제거합니다. 파일 편집기에서 추가 바이트를 잘라내거나 키 바이트만 코드의 새 버퍼로 복사하여 추가 패딩을 제거할 수 있습니다.
+ **해결 상태: **3.1.0 클라이언트 및 소프트웨어 릴리스에서 AWS CloudHSM 은 AES 키 래핑을 위한 표준 호환 옵션을 제공합니다. 자세한 내용은 [AES 키 래핑](manage-aes-key-wrapping.md)을 참조하세요.

## 문제: 클라이언트 데몬이 클러스터에 성공적으로 연결하려면 구성 파일에서 최소 하나의 유효한 IP 주소가 필요합니다.
<a name="ki-all-2"></a>
+ **영향: **클러스터에서 모든 HSM을 삭제한 다음 새 IP 주소를 가져오는 다른 HSM을 추가하면 클라이언트 데몬은 원래의 IP 주소에서 HSM을 계속 검색합니다.
+ **해결 방법:** 간헐적인 워크로드를 실행하는 경우 [CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html) 함수에서 `IpAddress` 인수를 사용하여 탄력적 네트워크 인터페이스(ENI)를 원래 값으로 설정하는 것이 좋습니다. ENI는 가용 영역(AZ)에 특정합니다. 대체 방법은 `/opt/cloudhsm/daemon/1/cluster.info` 파일을 삭제한 다음 클라이언트 구성을 새 HSM의 IP 주소로 재설정하는 것입니다. `client -a <IP address>` 명령을 사용할 수 있습니다. 자세한 내용은 [클라이언트 설치 및 구성 AWS CloudHSM (Linux)](cmu-install-and-configure-client-linux.md) 또는 [AWS CloudHSM 클라이언트 설치 및 구성(Windows)을 참조하세요](cmu-install-and-configure-client-win.md).

## 문제: 클라이언트 SDK 3을 AWS CloudHSM 사용하여 해시하고 서명할 수 있는 데이터에 대한 상한이 16KB였습니다.
<a name="ki-all-3"></a>
+ **해결 상태:** 크기가 16KB 미만인 데이터는 해싱을 위해 계속해서 HSM에 전송됩니다. 소프트웨어에서 크기가 16KB \$1 64KB인 데이터를 로컬 해싱하는 기능이 추가되었습니다. 클라이언트 SDK 5가 데이터 버퍼가 64KB보다 큰 경우 명시적으로 실패합니다. 수정의 이점을 누리기 위해서는 클라이언트 및 SDK를 버전 5.0.0 이상으로 업데이트해야 합니다.

## 문제: 가져온 키를 내보낼 수 없도록 지정할 수 없음
<a name="ki-all-4"></a>
+ **해결 상태:** 이 문제가 수정되었습니다. 수정의 이점을 누리기 위해 사용자가 특별히 할 일은 없습니다.

## 문제: key\$1mgmt\$1util의 wrapKey 및 unWrapKey 명령에 대한 기본 메커니즘이 제거되었습니다.
<a name="ki-all-5"></a>
+ **해결: **wrapKey 또는 unWrapKey 명령을 사용할 때 `-m` 옵션을 사용하여 메커니즘을 지정해야 합니다. 자세한 내용은 [wrapKey](key_mgmt_util-wrapKey.md) 또는 [unWrapKey](key_mgmt_util-unwrapKey.md) 문서의 예제를 참조하십시오.

## 문제: 클러스터에 HSM이 하나 있는 경우, HSM 장애 조치가 올바르게 작동하지 않습니다.
<a name="ki-all-6"></a>
+ **영향: **클러스터의 단일 HSM 인스턴스가 연결이 끊어지면, HSM 인스턴스가 나중에 복원되더라도 클라이언트가 인스턴스와 다시 연결되지 않습니다.
+ **해결 방법: **프로덕션 클러스터에 HSM 인스턴스가 두 개 이상 있는 것이 좋습니다. 이 구성을 사용하면 이 문제의 영향을 받지 않습니다. 단일 HSM 클러스터의 경우, 클라이언트 데몬을 바운스하여 연결을 복원합니다.
+ **해결 상태: ** 이 문제는 AWS CloudHSM 클라이언트 1.1.2 릴리스에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트로 업그레이드해야 합니다.

## 문제: 짧은 시간 내에 클러스터에 있는 HSM의 키 용량이 초과하면, 클라이언트가 처리되지 않은 오류 상태로 전환됩니다.
<a name="ki-all-7"></a>
+ **영향: ** 클라이언트에 처리되지 않은 오류 상태가 발생하면 중지되므로 다시 시작해야 합니다.
+ **해결 방법: **처리량을 테스트하여 클라이언트가 처리할 수 없는 속도로 세션 키를 생성하고 있지 않은지 확인하십시오. 클러스터에 HSM을 추가하거나 세션 키 생성 속도를 줄여 속도를 낮출 수 있습니다.
+ **해결 상태: ** 이 문제는 AWS CloudHSM 클라이언트 1.1.2 릴리스에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트로 업그레이드해야 합니다.

## 문제: HMAC 키 크기가 800바이트보다 큰 다이제스트 작업은 지원되지 않습니다.
<a name="ki-all-8"></a>
+ **영향: **800바이트보다 큰 HMAC 키를 HSM에 생성하거나 가져올 수 있습니다. 그러나 JCE 또는 key\$1mgmt\$1util을 통해 다이제스트 작업에서 이보다 더 큰 키를 사용하면, 작업이 실패합니다. PKCS11을 사용하는 경우, HMAC 키가 64바이트 크기로 제한됩니다.
+ **해결 방법: **HSM에서 다이제스트 작업에 HMAC 키를 사용할 예정인 경우, 크기가 800바이트보다 작은지 확인하십시오.
+ **해결 상태: **현재는 없습니다.

## 문제: Client SDK 3과 함께 배포된 client\$1info 도구가 선택적 출력 인수로 지정된 경로의 내용을 삭제합니다.
<a name="ki-all-9"></a>
+ **영향:** 지정된 출력 경로에 있는 모든 기존 파일 및 하위 디렉터리가 영구적으로 손실될 수 있습니다.
+ **해결 방법:** `client_info`도구를 사용할 때 `-output path`선택적 인수를 사용하지 마십시오. 
+ **해결 상태:** 이 문제는 [Client SDK 3.3.2 릴리스](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-history.html#client-version-3-3-2)에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트로 업그레이드해야 합니다.

## 문제: 컨테이너화된 환경에서 `--cluster-id` 인수를 사용하여 SDK 5 구성 도구를 실행할 때 오류가 발생합니다.
<a name="ki-all-10"></a>

구성 도구와 함께 --cluster-id 인수를 사용할 때 다음 오류가 발생합니다.

`No credentials in the property bag`

이 오류는 인스턴스 메타데이터 서비스 버전 2(IMDSv2) 업데이트로 인해 발생합니다. 자세한 내용은 [IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) 설명서를 참조하십시오.
+ **영향:** 이 문제는 컨테이너화된 환경에서 SDK 버전 5.5.0 이상에서 구성 도구를 실행하고 EC2 인스턴스 메타데이터를 활용하여 자격 증명을 제공하는 사용자에게 영향을 미칩니다.
+ **해결 방법:** PUT 응답 홉 제한을 2개 이상으로 설정합니다. 이 작업을 수행하는 방법에 대한 지침은 [인스턴스 메타데이터 서비스 옵션 구성](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) 섹션을 참조하세요.

## 문제: 제공된 pfx 파일에서 다음 오류가 표시됩니다. “cert/key를 생성하지 못했습니다. 오류: NotPkcs8”
<a name="ki-all-11"></a>
+ **해결 방법: **opensl 명령 `openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8`을 사용하여 사용자 지정 SSL 프라이빗 키를 PKCS8 형식으로 변환할 수 있습니다.
+ **해결 상태:** 이 문제는 [클라이언트 SDK 5.12.0 릴리스](client-version-previous.md#client-version-5-12-0)에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트 버전 이상으로 업그레이드해야 합니다.

## 문제: SDK 5.16으로 시작하는 "잘못된 메커니즘" 오류와 함께 ECDSA 서명 실패
<a name="ki-all-12"></a>
+ **영향:** 키 강도보다 약한 해시 함수를 사용하면 ECDSA 서명 작업이 실패합니다. 이 실패가 발생하는 이유는 [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf)에서 해시 함수가 최소한 키 강도만큼 강력해야 하기 때문입니다.

  클라이언트 로그에 이와 유사한 오류가 표시될 수 있습니다.

  ```
  [cloudhsm_provider::hsm1::session::ecdsa::sign::common][][] Digest security strength (80) is weaker than the key security strength (128)
  ```
+ **해결 방법:** 해시 함수를 업데이트할 수 없는 경우 해시 강도 요구 사항을 적용하지 않는 비 FIPS 클러스터로 마이그레이션할 수 있습니다. 그러나 FIPS 규정 준수를 유지하려면 해시 함수를 업데이트하는 것이 좋습니다.

   추가 해결 방법으로 이 요구 사항을 우회하는 구성 옵션이 추가되었습니다. 해시 함수가 더 약한 ECDSA를 사용하는 것은 보안 모범 사례를 따르지 않으므로 이 옵션은 **권장되지 않습니다**. 이 옵션을 사용하려면 다음 명령(사용 중인 SDK의 구성 도구 [AWS CloudHSM 클라이언트 SDK 5 구성 구문](configure-tool-syntax5.md)로 `configure-cli` 대체)을 실행합니다.

  ```
  sudo /opt/cloudhsm/bin/configure-cli --enable-ecdsa-with-weak-hash-function
  ```
+ **해결 방법:** 최소한 ECDSA 키만큼 강력한 해시 함수를 사용합니다. 해시 함수 및 ECDSA 키 강도에 대한 자세한 내용은 [NIST SP 800-57 Part 1 Rev 5](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf)의 표 2 및 3을 참조하세요.

## 문제: 미리 해시된 데이터를 사용한 서명 작업 시 대화형 모드에서 세션 토큰이 제대로 지워지지 않음
<a name="ki-all-13"></a>
+ **영향:** SDK 버전 5.16.1과 함께 대화형 모드에서 CloudHSM CLI를 사용하는 경우 미리 해시된 데이터를 사용한 서명 작업으로 세션 토큰을 올바르게 지우지 못합니다.
+ **해결 방법:** 미리 해시된 데이터로 서명 작업을 수행할 때 대화형 모드 대신 단일 명령 모드를 사용합니다. 이렇게 하면 각 작업 후 적절한 토큰 정리가 보장됩니다.
+ **해결 상태:** 이 문제는 CloudHSM SDK 5.16.2에서 해결되었습니다. 수정 사항을 활용하려면 버전 5.16.2 이상으로 업그레이드하세요.

## 문제: CloudHSM 클라이언트 라이브러리의 기본 클라이언트 인증서가 2026년 1월 31일에 만료됩니다.
<a name="ki-all-14"></a>
+ **영향: **2026년 1월 31일 이후 고객에게는 영향이 없습니다. 클라이언트와 HSM 간의 모든 통신은 [여기에](client-end-to-end-encryption.md) 설명된 대로 클라이언트-HSM TLS로 보호됩니다. 클라이언트-HSM TLS는 클러스터 초기화 중에 고객이 구성한 고객 소유/관리형 인증서를 사용합니다.
+ **해결 상태: **해결됨.